Sexy Spaсe инфицирует Symbian-телефоны
На прошлой неделе произошло то, о чем давно предупреждали эксперты, — появился первый в мире мобильный ботнет. Безусловно, явление потенциально опасное и для пользователей мобильных телефонов, и для корпоративного сектора. Сегодня мы оценим риски владельцев телефонов и тех, на кого нацелены атаки с помощью мобильных ботнетов.
Середина июля принесла, наконец, летнюю жару и, как ни странно, столь же жаркие новости с IT-рынка да еще и напрямую затрагивающие телеком. Теплом нынешнее лето действительно до сих пор не радовало, чего не скажешь об отраслевых новостях: энергетика стартовавшего в первых числах июня Computex и WWDC оказалась столь велика, что поток премьер и анонсов не ослабевает и по сей день. Посмотрим, что будет дальше — возьмет ли свое летняя сиеста. Пока же недостатка в новостях не ощущается, более того, у журналистов есть возможность выбирать, о чем рассказывать своим читателям. И в этом смысле сегодняшний выпуск Hi-tech WEEK — полный антипод одного из мартовских, который по причине информационного вакуума был посвящен вирусоуязвимости наших мобильных устройств и компьютеров. Впрочем, обо всем по-порядку.
15 июля в блоге Trend Micro появилось сообщение Джонатана Леопандо о новом зафиксированном черве SymbOS YXES B. или Sexy Space, опасном для устройств на платформе Symbian OS. Конечно же, у наших постоянных читателей после прочтения названия червя возникло deja vu: весной этого года вышеупомянутый выпуск Hi-tech WEEK был посвящен вирусным угрозам и, в частности, обнаружению червя SymbOS Yxes.A. Да, названия похожи, но сегодняшняя находка, вредоносная программа SymbOS YXES B. способна не только воровать данные пользователей и осуществлять спамерскую рассылку посредством SMS, но и принимать команды от удаленных серверов.
Также как и SymbOS Yxes.A, более продвинутая программа с литерой «B» имеет действительный сертификат, подписанный Symbian. Соответственно, никаких подозрений у владельца мобильного устройство не возникает, и он собственными руками дает добро на установку приложения в мобильное устройство. После чего программа начинает SMS-рассылку с вложенной ссылкой, щелкнув по которой адресат автоматически загружает этот самый вирус в свой аппарат. А вот конечная цель SymbOS YXES B. состоит не только в том, чтобы собрать информацию о зараженном телефоне (IMEI, номер телефона), отправить данные на удаленной сервер, где аккумулируется весь массив сведений, но также и в возможности использовать мобильные устройства для DDoS-атак, которые до сих пор осуществлялись лишь с компьютеров, а не с телефонов или смартфонов! Именно этот факт и позволяет назвать SymbOS YXES B. средством для создания первого мобильного ботнета.
Конечно же, главный вопрос, который волнует и нас с вами, рядовых пользователей устройств на Symbian, и корпоративный сектор (в первую очередь, я имею ввиду порталы и сайты компаний) — насколько велика угроза мобильных ботнетов. Тем более, что обычные компьютерные ботнеты давно уже не новость. Прежде чем ответить на этот вопрос, думаю логичным будет начать от печки. Что такое DDoS-атака и что отличает мобильную атаку от компьютерной? Злоумышленник посредством специального ПО получает доступ к компьютерам/мобильным телефонам и, объединив их в сеть, имеет возможность одновременно направить запросы с этих устройств на какой-то сервер. Цель атаки — довести данный сервер до отказа: попытка легитимных пользователей зайти на сайт должна закончиться полным фиаско. Как вы думаете, в чем может быть подвох в том случае, если эти действия осуществляются с помощью мобильных устройств, а не компьютеров? Вернее, не так: какие условия чрезвычайно важны для подобных действий в случае, если ботнетами являются не компьютеры, а мобильные телефоны? Да, правильно, важнейшей составляющей является скорость передачи данных, но не только! Ведь, заказчику интересна атака в определенный день и даже час. Традиционная схема с использованием компьютеров проходит на ура, а вот те же действия с участием мобильных телефонов-зомби могут не сработать. Почему? Дело в том, что для успешной атаки необходимо определенное количество устройств, которые в час «Х» должны находиться в Интернете. Компьютеры в этом отношении куда надежнее телефонов: ШПД плюс другое целевое назначение устройства и, как следствие, — несравнимо большее время присутствия в Сети. В телефонии же пока преимущественно используются GPRS и EDGE. Во всяком случае, более высокие скорости (3G) для нашей страны, несмотря на постепенное улучшение покрытия в целом по России, далеки от повсеместного широкого применения. Что говорить, выступать в роли отстающих и догоняющих плохо, но не в этом конкретном случае, поскольку для россиян сей факт существенно снижает риск попасться в сети в прямом и переносном смысле. Что касается другой стороны — времени, которое пользователь проводит в Интернете, выходя в Сеть со своего телефона, ситуация также не в пользу организаторов мобильных атак. Да, наиболее активная и продвинутая часть владельцев телефонов, как минимум, пользуется различными аналогами ICQ, проверяет почту, а также выходит в Интернет для того чтобы пообщаться в социальных сетях или написать пост в своем ЖЖ, однако все эти задачи не требуют длительного времени пребывания в Сети, а значит, злоумышленники, которые намерены задействовать телефоны для DDoS-атак, рискуют тем, что в нужный момент в Интернете просто не окажется необходимого количества «мобильных пользователей». Здесь уместно напомнить важное условие DDoS-атаки — непрерывность, а для того чтобы обеспечить это условие, необходимо, чтобы мобильный телефон на протяжении длительного времени находился в Сети. Это, в свою очередь, объясняет, почему выбор злоумышленников пал именно на платформу Symbian: подавляющее большинство выпускаемых в мире аппаратов базируются именно на этой платформе. Посмотрите на скриншот, снятый с сайта Trend Micro, и вы сможете заметить, что в пункте «Платформа» указана Symbian OS.
Да, именно так, без указания модификации и редакций. Напомню, что в случае с SymbOS Yxes.A речь шла об устройствах, относящихся к 3-й редакции S60. Сегодня на сайте Trend Micro таких уточнений нет, во всяком случае пока нет, и это наводит на мысль о том, что программа может быть опасна для аппаратов на S60 всех существующих ныне редакций. В то же время посмотрите на скриншот с данными компании F-Secure о черве Sexy Space:
Как я уже говорила, платформу Symbian злоумышленники выбрали в качестве мишени совсем не случайно и в подтверждение две цитаты с официального сайта Nokia и сетевой энциклопедии Wiki: «платформа S60, основанная на операционной системе Symbian, — ведущее в мире программное обеспечение для миллионов устройств и тысяч мобильных приложений». И еще одна: «S60 в настоящее время является лидером среди платформ для смартфонов в мире. Была разработана корпорацией Nokia, и впоследствии лицензирована другим компаниям, таким как Lenovo, LG Electronics, Panasonic и Samsung. Так же в разработку входят компании, интегрирующие программное обеспечение Elektrobit, Teleca, Digia, Mobica, Texas Instruments, STMicroelectronics, Broadcom, Renesas, Freescale, и операторы мобильной связи Vodafone и Orange, которые разрабатывают и поставляют мобильные приложения и услуги для S60».
Масштабы охвата Symbian впечатляют и, безусловно, на руку злоумышленникам. В то же время нельзя сказать, что пользователи смартфонов обречены «на заклание». При всей серьезности угрозы риск вовлечения мобильного устройства в сеть ботнетов — пока минимальный. Во всяком случае для России. Почему? Первое, это низкая скорость: большинство россиян довольствуются GPRS или EDGE, соответственно, скорость находится ниже 500 Кбит/с. Второе, на нашей стороне национальная особенность — вносить деньги на счет минимальными «траншами». Поясню. Чаще всего в России индивидуальные пользователи предпочитают платить за мобильную связь по мере необходимости, примерно раз в неделю, зачисляя на счет сравнительно небольшие суммы, скажем, 200-500 рублей. Дебетовая форма оплаты услуг мобильной связи, в отличии, от западных стран, где в ходу преимущественно кредитовая форма оплаты, позволит быстро заметить неладное: обнаружить незапланированную утечку денежных средств и свести потери к минимуму. Это касается и банальной спам-рассылки, и DDoS-атак. Во сколько могут обойтись пользователю незаконные действия злоумышленников, которые используют ваш телефон для DDoS-атаки? Для того чтобы ответить на этот вопрос, можно провести параллель с утилитой ping, которая отправляет с заданными интервалами запросы на указанный узел сети и фиксирует поступающие ответы. И, конечно же, стоит учитывать тарифный план оператора, абонентом которого вы являетесь. В связи с этим приводить даже примерные цифры не стоит: цифра всеравно получится некорректной. Пожалуй, правильнее сказать, что едва ли это будет какая-то внушительная сумма.
Еще один момент, о котором, наверное, читая этот текст, задумались очень многие: а что с другими мобильными операционками, например, трендовым Android? Насколько вероятна угроза мобильных ботнетов для этой Linux-платформы? Здесь все просто. Написать подобную программу можно и под Android. И никакой Linux препятствием быть не может. Ремарка важная, поскольку многие до сих пор уверены, что Linux — одна из самых безопасных систем в мире. Этот миф может опровергнуть только ситуация на рынке — любой суперпопулярный и востребованный широкими массами пользователей Linux-дистрибутив (или что-то иное) сразу привлечет внимание вирусописателей, а главное, тех, кто за этим стоит. Та же Mac OS, превратившись из нишевого продукта в массовый, в последнее время бьет рекорды: на одной из июньских недель (в текущем году) было зафиксировано аж три троянца!
С индивидуальными пользователями разобрались — все не так плохо, как, наверное, многие себе представляли, прочитав стандартную новость о первом мобильном ботнете :) А что же корпоративный сектор? Если мобильные устройства являются орудием, то сайты и порталы различных компаний и предприятий — это цель атакующих. В силу ряда причин, изложенных выше, можно рассматривать данную угрозу всего лишь как одну из многих. Во всяком случае именно так выглядит данная проблема на сегодняшний день. Поводов для паники нет: статистика Trend Micro показывает, что «инфицированных» устройств не обнаружено:
В то же время полной ясности в этом вопросе нет. Так, на минувшей неделе в одной из статей Computerworld я прочитала о том, что техник из NetQin Tech писал в корпоративном блоге об «инфекциях» в Китае и Саудовской Аравии.
Как бы то ни было, IT-специалисты всегда должны быть готовы к неприятным сюрпризам, поэтому угрозу под названием «Мобильные ботнеты» следует рассматривать всего лишь как одну из существующих сегодня. Что касается превентивных мер — да, они хорошо известны, но гарантом безопасности на сегодняшний день выступать не могут. Одно можно сказать точно — наступившая эра мобильных ботнетов станет хорошим временем для компаний, специализирующихся на разработке решений для мобильной и компьютерной безопасности.
© СОТОВИК